KB5021130: De wijzigingen in het Netlogon-protocol beheren met betrekking tot CVE-2022-38023

De initiële implementatiefase begint met de updates die zijn uitgebracht op 8 november 2022 en gaat verder met latere Windows-updates tot de afdwingingsfase. Windows-updates op of na 8 november 2022 verhelpen beveiligingsproblemen van CVE-2022-38023 door RPC-verzegeling af te dwingen op alle Windows-clients.

Apparaten worden standaard ingesteld in de compatibiliteitsmodus. Windows-domeincontrollers vereisen dat Netlogon-clients RPC-verzegeling gebruiken als ze Windows uitvoeren of als ze fungeren als domeincontrollers of als vertrouwensaccounts.

De Windows-updates die zijn uitgebracht op of na 11 april 2023, zullen de mogelijkheid om RPC-verzegeling uit te schakelen, verwijderen door waarde 0 in te stellen op de registersubsleutel RequireSeal .

De registersubsleutel RequireSeal wordt verplaatst naar de modus Afgedwongen, tenzij beheerders expliciet configureren voor compatibiliteitsmodus. Kwetsbare verbindingen van alle clients, inclusief derden, worden verificatie geweigerd. Zie Wijziging 1.

De Windows-updates die zijn uitgebracht op 11 juli 2023, zullen de mogelijkheid om waarde 1 in te stellen op de registersubsleutel RequireSeal verwijderen. Hierdoor wordt de afdwingingsfase van CVE-2022-38023 ingeschakeld.

Als u dit foutbericht in uw gebeurtenislogboeken vindt, moet u de volgende acties uitvoeren om de systeemfout op te lossen:

• Controleer of op het apparaat een ondersteunde versie van Windows wordt uitgevoerd.

• Controleer of alle apparaten up-to-date zijn.

• Controleer of Domeinlid: Domeinlid Gegevens beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) is ingesteld op Ingeschakeld .

Als u gebeurtenis 5840 vindt, is dit een teken dat een client in uw domein zwakke cryptografie gebruikt.

Als u gebeurtenis 5841 vindt, is dit een teken dat de waarde RejectMD5Clients is ingesteld op TRUE .

De sleutel RejectMD5Clients is een bestaande sleutel in de Netlogon-service. Zie De beschrijving van het abstracte gegevensmodel voor meer informatie : RejectMD5Clients .

Alle machineaccounts die lid zijn van een domein, worden beïnvloed door deze CVE. Gebeurtenissen laten zien wie het meest wordt beïnvloed door dit probleem nadat de Windows-updates van 8 november 2022 of hoger zijn geïnstalleerd. Raadpleeg de sectie Fouten in gebeurtenislogboeken om de problemen op te lossen.

Om oudere clients te helpen detecteren die niet de sterkste beschikbare crypto gebruiken, introduceert deze update gebeurtenislogboeken voor clients die RC4 gebruiken.

RPC-ondertekening vindt plaats wanneer het Netlogon-protocol RPC gebruikt om de berichten te ondertekenen die via de kabel worden verzonden. RPC-verzegeling is wanneer het Netlogon-protocol de berichten die via de kabel worden verzonden, zowel ondertekent als versleutelt.

Windows-domeincontroller bepaalt of op een Netlogon-client Windows wordt uitgevoerd door een query uit te voeren op het kenmerk 'OperatingSystem' in Active Directory voor de Netlogon-client en te controleren op de volgende tekenreeksen:

• "Windows", "Hyper-V Server" en "Azure Stack HCI"

Het wordt niet aanbevolen of ondersteund om dit kenmerk door Netlogon-clients of domeinbeheerders te wijzigen in een waarde die niet representatief is voor het besturingssysteem (OS) dat wordt uitgevoerd op de Netlogon-client. Houd er rekening mee dat we de zoekcriteria op elk gewenst moment kunnen wijzigen. Zie Wijziging 3.

In de afdwingingsfase worden Netlogon-clients niet geweigerd op basis van het type versleuteling dat de clients gebruiken. Netlogon-clients worden alleen geweigerd als ze RPC-ondertekening uitvoeren in plaats van RPC-afdichting. Afwijzing van RC4 Netlogon-clients is gebaseerd op de registersleutel RejectMd5Clients die beschikbaar is voor Windows Server 2008 R2 en hoger Windows-domeincontrollers. De afdwingingsfase voor deze update wijzigt de waarde 'RejectMd5Clients' niet. We raden klanten aan om de waarde RejectMd5Clients in te schakelen voor een hogere beveiliging in hun domeinen. Zie Wijziging 3.

Advanced Encryption Standard (AES) is een blokcodering die de Data Encryption Standard (DES) vervangt. AES kan worden gebruikt om elektronische gegevens te beveiligen. Het AES-algoritme kan worden gebruikt voor het versleutelen (versleutelen) en ontsleutelen (ontcijferen) van gegevens. Versleuteling converteert gegevens naar een niet-begrijpelijke vorm die coderingstekst wordt genoemd; als u de coderingstekst ontsleutelt, worden de gegevens weer geconverteerd naar de oorspronkelijke vorm, ook wel tekst zonder opmaak genoemd. AES wordt gebruikt in cryptografie met symmetrische sleutels, wat betekent dat dezelfde sleutel wordt gebruikt voor de versleutelings- en ontsleutelingsbewerkingen. Het is ook een blokcodering, wat betekent dat het werkt op blokken met vaste grootte van plaintext en coderingstekst, en vereist dat de grootte van de tekst zonder opmaak en de coderingstekst een exact veelvoud van deze blokgrootte is. AES wordt ook wel het Rijndael symmetrische versleutelingsalgoritmen [FIPS197] genoemd.

In een netwerkbeveiligingsomgeving die compatibel is met het Windows NT-besturingssysteem, functioneert het onderdeel dat verantwoordelijk is voor synchronisatie en onderhoud tussen een primaire domeincontroller (PDC) en back-updomeincontrollers (BDC). Netlogon is een voorloper van het DRS-protocol (Directory Replication Server). De RPC-interface (Remote Procedure Call) van Netlogon Remote Protocol wordt voornamelijk gebruikt voor het onderhouden van de relatie tussen een apparaat en het bijbehorende domein , en relaties tussen domeincontrollers (DC's) en domeinen. Zie Netlogon Remote Protocol voor meer informatie.

RC4-HMAC (RC4) is een symmetrisch versleutelingsalgoritmen met variabele sleutellengte. Zie [SCHNEIER] sectie 17.1 voor meer informatie.

Een geverifieerde RPC-verbinding (Remote Procedure Call) tussen twee computers in een domein met een tot stand gebrachte beveiligingscontext die wordt gebruikt voor het ondertekenen en versleutelen van RPC-pakketten .